发送系统、接收系统、媒体流合法性的识别方法和系统

暂无

发送系统、接收系统、媒体流合法性的识别方法和系统\n技术领域\n[0001] 本发明涉及物理传输网络，尤其涉及一种物理传输网络中的发送系统和接收系统，以及在物理传输网络中对媒体流的合法性进行识别的方法和系统。\n背景技术\n[0002] 在单向的网络环境中，由于传输通道的某些部分可能处于开放的媒介中，如有线传输、空中地面传播或卫星传播，非法的节目源可以利用插入节目的方式来干扰传输通道，造成正常节目无法传播，使终端用户接收到非法的节目。\n[0003] 拿卫星信号的传播为例，作为共用设施的卫星通道是不需要对信号进行甄别的。\n在A地面的发射设备发射的电视信号，卫星进行转发；在B地面的发射设备发射的电视信号，卫星同样进行转发。如果A和B两地的信号在同一个频率上，功率较大的信号会覆盖功率较小的信号，卫星接收机将接收到功率较大的信号。一些非法信号就利用卫星系统这样的特性，用大功率非法信号攻击正常信号的传播。\n[0004] 目前针对非法信号攻击的防范措施，有一些产品在市场上应用，这些产品所使用的防范措施主要分为四类：\n[0005] 1)人工型，由监控人员监视控制屏幕，在控制屏幕上发现非法信号出现时立即切断输出；这种方法有着明显的缺点，例如：依靠人工判断，人工成本巨大；人员的管理难度大。\n[0006] 2)信号检测型，这种方法利用校验机检验接收信号的特性。当信号特性发生突变时，校验机就认为是受到了非法攻击，发出告警。这种设备有很大的缺点：信号特征变化的原因很多，发生特性变化的信号未必都是攻击，而且非法信号攻击导致的信号特性变化也可能很小；这类设备经常发生漏报和误报的情况。\n[0007] 3)码流检测型，相应的设备一般为码流分析仪，如果非法信号进行攻击，可能造成信号码流的变化，报警型设备会向使用者提醒码流的变化。但是，这种设备依然有着很大的缺点：非法信号的攻击会带来码流的变化，但是并不是只要码流产生变化就一定是非法信号的攻击，还有很多能够引起码流变化的因素，例如天气变化等。因此这类设备可能经常发生误报的情况。\n[0008] 4)特征码检测型，这种类型的设备在码流中加入特征码，接收设备检测码流中的特征码，如果特征码发生变化，报警型设备会向使用者提醒码流的变化。但是，这种设备依然有着很大的缺点：特征码与码流没有相关的关系，攻击者可以保留码流中的特征码而插入非法的音视频内容。因此这类设备可能发生漏报的情况。\n[0009] 以上现有的技术方案有个共同的缺点，即无法自动、无误地识别信号源，因此不能从根本上解决问题，尤其无法解决卫星直播、地面或有线广播等信号直接入户的接收设备的抗攻击的问题。\n发明内容\n[0010] 本发明要解决的技术问题是提供一种在物理传输网络中识别媒体流合法性的技术，使得接收设备可以自动、正确地识别音视频流来源的合法性。\n[0011] 为了解决上述技术问题，本发明首先提供了一种物理传输网络中的发送系统，该发送系统包括签名服务器和码流复用器，其中：\n[0012] 所述签名服务器用于从一认证中心获得一签名证书，并用于对从媒体流中截取的小段码流进行特征提取和签名，获得签名流以及与该签名流相应的描述符；\n[0013] 所述码流复用器用于将所述签名证书、签名流及描述符组成的校验流插入到承载所述媒体流的传输流中。\n[0014] 优选地，所述签名服务器包括密钥存储单元、签名流生成单元、证书发放单元及描述符生成单元，其中：\n[0015] 该密钥存储单元，用于存储一签名证书及一签名私钥；\n[0016] 该签名流生成单元，用于采用该签名私钥对所述小段码流进行特征提取和签名，生成该签名流；\n[0017] 该证书发放单元，用于从该认证中心获得该签名证书，并将该签名证书插入到该签名流中；\n[0018] 该描述符生成单元，用于在流的描述符中插入对该签名流的描述符；\n[0019] 其中，该签名证书中的公钥与该签名私钥为一签名密钥对，该签名证书由该认证中心用一根私钥签名形成。\n[0020] 优选地，所述证书发放单元用于从该认证中心获得包含有证书有效期的该签名证书，并用于从该认证中心获得并存储一个或一个以上的备用签名证书，在所述签名证书的有效期到期时，选择一个备用签名证书以更换所述签名证书。\n[0021] 优选地，所述签名流生成单元包括截取子单元、计算子单元、提取子单元、签名子单元及封装子单元，其中：\n[0022] 该截取子单元，用于从所述媒体流中截取长度相等的所述小段码流；\n[0023] 该计算子单元，用于对所述小段码流计算数字摘要，形成摘要流；\n[0024] 该提取子单元，用于对所述摘要流进行特征提取，形成特征摘要流；\n[0025] 该签名子单元，用于采用该签名私钥对该特征摘要流进行分段签名，形成该签名流；\n[0026] 该封装子单元，用于根据所述签名流对应的媒体流封包的包头信息和媒体流自身信息产生同步特征码，将所述同步特征码封装在所述签名流的包头信息中，对该签名流进行封装。\n[0027] 优选地，所述截取子单元用于根据传输信道的误码率设定所述小段码流的长度。\n[0028] 为了解决上述技术问题，本发明还提供了一种物理传输网络中的接收系统，该接收系统包括签名校验机，其中：\n[0029] 所述签名校验机用于对所述接收系统接收的传输流中的校验流进行解析，获得组成所述校验流的签名证书、签名流及描述符，根据所述签名证书、签名流及描述符识别承载在所述传输流中的媒体流的合法性。\n[0030] 优选地，所述签名校验机包括证书存储单元、签名解密单元、摘要生成单元以及校验控制单元，其中：\n[0031] 该证书存储单元，用于保存该认证中心发放的一根证书；\n[0032] 该签名解密单元，用于采用该根证书中的根公钥对所述签名证书进行解密，获得一签名公钥，采用该签名公钥对该签名流解密，得到一特征摘要流；\n[0033] 该摘要生成单元，用于根据该描述符对所述媒体流中截取与所述描述符对应的码流片段，生成该码流片段的第二特征摘要；\n[0034] 该校验控制单元，用于通过所述签名流封装包头信息中的同步特征码对所述特征摘要流和第二特征摘要进行同步，然后比较该特征摘要流和第二特征摘要，获得一相似度，根据该相似度与一预设的门限值识别该媒体流是否合法；\n[0035] 其中，该签名证书由该认证中心用一根私钥签名形成，该根私钥与该根证书中的公钥为一根密钥对；所述同步特征码根据所述签名流对应的媒体流封包的包头信息和媒体流自身信息产生。\n[0036] 优选地，该签名校验机进一步包括：\n[0037] 证书判断单元，用于判断所述媒体流中是否包含有证书表格，不包含该证书表格则识别出该媒体流不合法，否则进一步判断该证书表格中是否包含所述签名证书，不包含所述签名证书则识别出该媒体流不合法，否则校验所述签名证书是否合法，所述签名证书不合法则识别出该媒体流不合法。\n[0038] 优选地，所述校验控制单元用于通过所述特征摘要流及该第二特征摘要不同比特的数量，计算所述相似度。\n[0039] 优选地，该校验控制单元用于在该相似度大于等于该门限值时确认该媒体流合法，否则确认该媒体流不合法；\n[0040] 其中，该门限值根据信道噪音及所述小段码流的长度设定。\n[0041] 为了解决上述技术问题，本发明还提供了一种在物理传输网络中识别媒体流合法性的系统，包括如前所述的发送系统，以及如前所述的接收系统。\n[0042] 为了解决上述技术问题，本发明还提供了一种在物理传输网络中识别媒体流合法性的方法，该物理传输网络包括前端的发送系统和终端的接收系统，该方法包括：\n[0043] 所述发送系统从一认证中心获得一签名证书，并对从媒体流中截取的小段码流进行签名，获得签名流以及与该签名流相应的描述符；并将所述签名证书、签名流及描述符组成校验流插入到承载所述媒体流的传输流中；\n[0044] 所述接收系统对接收的传输流中的校验流进行解析，获得组成所述校验流的签名证书、签名流及描述符，根据所述签名证书、签名流及描述符识别承载在所述传输流中的媒体流的合法性。\n[0045] 优选地，所述发送系统对该小段码流进行该签名，获得该签名流以及与该签名流相应的描述符的步骤，包括：\n[0046] 所述发送系统采用一签名私钥对该小段码流进行特征提取和签名，生成该签名流，将从该认证中心获得的该签名证书插入该签名流中，并在流的描述符中插入对该签名流的该描述符；\n[0047] 其中，该签名公钥与该签名私钥为一签名密钥对，该签名证书包含一签名公钥，由该认证中心用一根私钥签名形成。\n[0048] 优选地，所述发送系统从该认证中心获得包含有证书有效期的该签名证书，并用于从该认证中心获得并存储一个或一个以上的备用签名证书，在所述签名证书的有效期到期时，选择一个备用签名证书以更换所述签名证书。\n[0049] 优选地，所述发送系统采用一签名私钥对该小段码流进行签名，生成该签名流的步骤，包括：\n[0050] 所述发送系统从所述媒体流中截取长度相等的所述小段码流；\n[0051] 对所述小段码流计算数字摘要，形成摘要流；\n[0052] 对所述摘要流进行特征提取，形成特征摘要流；\n[0053] 采用该签名私钥对该特征摘要流进行分段签名，形成该签名流；\n[0054] 根据所述媒体流的封包信息生成同步特征码作为封包的包头信息，对该签名流进行封装。\n[0055] 优选地，所述发送系统从所述媒体流中截取所述小段码流的步骤，包括：\n[0056] 所述发送系统根据传输信道的误码率设定所述小段码流的长度。\n[0057] 优选地，该方法进一步包括：\n[0058] 所述接收系统判断所述媒体流中是否包含有证书表格，不包含该证书表格则识别出该媒体流不合法，否则进一步判断该证书表格中是否包含所述签名证书，不包含所述签名证书则识别出该媒体流不合法，否则校验所述签名证书是否合法，所述签名证书不合法则识别出该媒体流不合法。\n[0059] 优选地，所述接收系统根据所述签名证书、签名流及描述符识别该媒体流的合法性的步骤，包括：\n[0060] 所述接收系统采用本地保存的一根证书中的根公钥对该签名证书进行解密，获得一签名公钥；\n[0061] 采用该签名公钥对该签名流解密，得到一特征摘要流；\n[0062] 根据该描述符和同步特征码对该媒体流中截取与所述描述符和同步特征码对应的码流片段，生成第二特征摘要；\n[0063] 比较该特征摘要流和第二特征摘要，获得一相似度，并根据该相似度与一预设的门限值识别该媒体流是否合法；\n[0064] 其中，该根证书由该认证中心发布；所述同步特征码根据所述签名流对应的媒体流封包的包头信息和媒体流自身信息产生并封装在所述签名流的包头信息中。\n[0065] 优选地，所述接收系统比较该特征摘要流和第二特征摘要获得所述相似度的步骤，包括：\n[0066] 所述接收系统通过所述特征摘要流及该第二特征摘要不同比特的数量，计算所述相似度。\n[0067] 优选地，所述接收系统根据该相似度与所述门限值识别该媒体流是否合法的步骤，包括：\n[0068] 所述接收系统在该相似度大于等于该门限值时确认该媒体流合法，否则确认该媒体流不合法；\n[0069] 其中，该门限值根据信道噪音及所述小段码流的长度设定。\n[0070] 同现有的技术和产品相对比，本发明的技术方案在信道有噪音的情况下，仍然能够正确地工作，并且不需要改变现有的物理传输网络的传输方式。本发明的技术方案还具有明显的优点，如下：\n[0071] 1)从原理上保证了媒体流来源的合法与安全，即使在传输信道有噪音的情况下，也能保持很高的识别率。\n[0072] 2)自动截断非法信号的传输途径，使非法信号不会出现在用户终端上；\n[0073] 而在非法信号攻击结束后，能够自动地恢复合法信号的接收。\n[0074] 3)与其他相关的技术方案比较，性能价格比很高，而且可以运行在现有的卫星接收机或网络机顶盒上，技术改造成本低。\n附图说明\n[0075] 图1是本发明实施例媒体流合法性的识别系统的组成示意图；\n[0076] 图2是图1所示实施例中签名服务器的组成示意图；\n[0077] 图3是图2所示签名流生成单元的组成示意图；\n[0078] 图4是图1所示实施例中签名校验机的组成示意图；\n[0079] 图5是本发明实施例媒体流合法性的识别方法的流程示意图。\n具体实施方式\n[0080] 下面以本发明在卫星数字广播网络中应用为实施例，结合附图对本发明进行详细说明：\n[0081] 数字信息的接收方通过检查信息的数字签名，就可以确定这段信息是否来自于真实的发送方，也可以确定这段信息是否在传输的过程中被篡改。由于数字信号码流经过有噪音的广播信道传输，用数字签名不能够准确地判断接收到的码流是否来自于合法的信号源。\n[0082] 本发明是数字签名技术保护传输信道的方法和系统。数字签名技术是一个广泛应用的数字安全技术。数字码流的接收方通过检查传输内容的数字签名，就可以确定这段信息是否来自于真实的发送方。但是：现有的数字签名保护文件的技术并不能用于本发明的应用场合，因为：\n[0083] 1)所有的物理通讯传输通道都是有损以及有噪声的，数字签名技术对被签内容的完整性要求极其严格，即使有一个比特的误码也无法通过签名的校验；所以通过实际的物理传输的信号码流是不可能通过签名校验的；\n[0084] 2)所有的音视频传输流协议中没有数字签名(也是因为上述原因)，将数字签名直接插入音视频码流会导致与所有通讯协议不兼容而无法应用。\n[0085] 本发明解决了存在误码情况下校验音视频码流可信性的难题，在高噪声环境下，接收机仍能够准确地判断接收到的码流是否来自于合法的信号源。本发明也解决了在兼容所有通讯协议的情况下，将增加的数字签名与音视频流同步的问题，在数字电视广播(DVB)和IP传输通道中校验信源的可靠性，不需要更改现有的传输系统或设备。\n[0086] 本发明的原理是对数字签名校验方法进行修改，增加了签名的特征提取，可以识别传输噪声，通过特征统计分析，让接收终端可以识别信号来源的合法性，确认媒体流是否来自可信任的来源，并且在传输过程中内容是否没有被篡改。具体的做法可以是：提取一段码流，例如一幅画面的数据流(通常在100K比特左右)，切割成小段，每小段的长度可以决定于信道的误码率，例如，BER(误码率)万分之一的情况下，平均一幅画面中的有10处误码，由于目前的传输技术中普遍采用Reed-Solomon等前向纠错编码，可以假设误码平均分布，将\n100K的数据分割成10个小段，可以保证接收到的码流段存在错误的概率为1/10；由于切割是在一幅画面内进行的，图像的相关性和数据分布的随机性保证了无法通过修改1/10的数据获得不同的图像。\n[0087] 本发明在接收机制中提供了同步的方法和系统，为使本发明所需增加的设备或系统不会对现有的传输方法和系统造成影响，签名和证书的传输可以通过附加的码流传送。\n但是，现有的传输系统不能保证签名和证书的码流与音视频流的小段同时抵达接收机，甚至不能保证抵达的顺序的正确性。本发明在签名流中加入了每个小段的码流同步特征序列(如标识等)，接收端在收到每段码流后，根据码流的特征序列找到所有匹配的码流小段，拼接成按位对齐的签名序列，供校验之用。\n[0088] 图1所示是本实施例媒体流合法性的识别系统，卫星数字广播网络包括播放节目的电视台、卫星上行站、卫星、卫星接收站和地、市电视网络等部分。为了在该网络中实现数字签名和检验，确切检测电视码流(即音视频流)的合法性，在前端的发送系统中增设了签名服务器和码流复用器，在终端的接收系统中增设了签名校验机。\n[0089] 系统首先需要建立起前端签名服务器和终端签名校验机的信任关系，也就是终端的签名校验机需要信任前端签名服务器的数字签名。为了系统的灵活性和使用便利，本实施例采用两级密钥体系，当然本发明同样适用于两级以上或以下的信任链体系，如此可以在线(不中断服务的情况下)更换签名密钥；支持多级信任的另一个好处是在增加安全性的同时，方便采用不同长度、不同生命周期的签名密钥，降低终端的处理开销，提高终端的实时处理能力。\n[0090] 首先前端的发送系统和终端的接收系统都同时认可同一对根密钥(包括一根公钥和一根私钥)。这对根密钥通常要求生命周期很长，对安全强度要求较高，可以选用比较长的密码，如2048位甚至更长，以保证密钥的安全性。根私钥一般保存在认证中心等安全机构，保证密钥的安全。认证中心对外发布根公钥自签形成的根证书。校验机生产厂家在终端校验机生产时将根证书固化在硬件中；当然，以其他非固化的存储方式将根证书保存在硬件中也是可行的，本发明对此不作限定。前端的发送系统将自身的密钥对中的公钥导出形成证书申请文件，向认证中心提出签发申请，认证中心用根私钥对这个公钥进行签名，形成的数字证书，即签名证书，签名证书的格式采用X.509等国际通用的证书格式。这样前端的发送系统的密钥就成为根密钥的二级密钥。对码流的签名使用的是二级密钥，称为签名密钥。\n[0091] 固化有根证书的终端的签名校验机可以用根公钥解密签名证书，并从该签名证书中获取签名公钥，这样，前端的签名服务器和终端的签名校验机的信任关系就建立起来了。\n[0092] 在前端增设的设备有签名服务器110和码流复用器120，其中：\n[0093] 签名服务器110，加装在卫星上行站等广播前端设备上，用签名私钥对从媒体流中截取的小段码流计算摘要，并对摘要进行特征提取(本实施例中为该媒体流的特征摘要流A1)后进行签名，获得签名流以及与该签名流相应的描述符；用于将从认证中心获得的签名证书插入签名流中，其中该签名证书中的签名公钥和该签名私钥为一签名密钥对；其中该描述符中有该签名流在整个传输流中的描述，用于在传输流中找到该签名流和与该签名流相匹配的音视频码流；一般在签名流的每一个分段的头上都会包含有同步信息，同步信息的作用是在找到签名流和与之匹配的音视频码流后，准确定位某一段签名是哪个音视频帧的签名；\n[0094] 码流复用器120，与该签名服务器110相连，用于将签名服务器110获得的签名证书、签名流及其描述符组成校验流插入到承载音视频的传输流中。\n[0095] 如图2所示，该签名服务器110主要包括一密钥存储单元210、一签名流生成单元\n220、一证书发放单元230和一描述符生成单元240，其中：\n[0096] 密钥存储单元210，用于存储一签名证书及一签名私钥；\n[0097] 签名流生成单元220，与该密钥存储单元210相连，用于采用签名私钥对媒体流的特征摘要流A1进行签名，获得签名流，该签名流采用标准传输流(TS)的封装格式；\n[0098] 证书发放单元230，与该签名流生成单元220相连，用于导入认证中心发出的签名证书，并将签名证书插入到签名流中；该签名证书中包含一公钥，与该签名私钥为一签名密钥对，该签名证书由该认证中心用一根私钥签名形成；\n[0099] 描述符生成单元240，与该签名流生成单元220相连，用于在MPEG2的系统表格PMT中对流的描述符中插入对签名流的描述符，使接收机能够根据描述符中的信息同步签名流和音视频流(媒体流)，即从音视频流中截取签名流生成单元生成摘要所用的小段码流(音视频片断)。\n[0100] 上述证书发放单元230可以在每一个数字签名流MPEG2传输层数据包中插入一次签名证书，但并不局限于此。\n[0101] 上述证书发放单元230获得的签名证书中按标准包含有证书有效期的信息，该证书发放单元230可以从认证中心获得并存储一个或一个以上的备用签名证书，在当前使用的该签名证书有效期到期时，证书发放单元可以在备用签名证书中对签名证书进行更换，选择一个新的签名证书继续使用。\n[0102] 如图3所示，本实施例中上述签名流生成单元220主要包括截取子单元310、计算子单元320、提取子单元330、签名子单元340及封装子单元350，其中：\n[0103] 截取子单元310，用于从MPEG2传输层的音频流和视频流中分别截取长度相等的小段音频流和小段视频流；\n[0104] 计算子单元320，与该截取子单元310相连，用于对每一个小段音频流和小段视频流计算数字摘要，形成摘要流；\n[0105] 提取子单元330，与该计算子单元320相连，用于对该摘要流进行特征提取，获得特征摘要流A1；\n[0106] 签名子单元340，与该提取子单元330相连，用于采用签名私钥对该特征摘要流A1进行分段签名，形成签名流；\n[0107] 封装子单元350，与该签名子单元340相连，用于根据该签名流对应的音视频码流封包的包头信息和音视频码流自身信息产生同步特征码，将同步特征码封装在签名流的包头信息中，对该签名流进行封装打包。\n[0108] 上述截取子单元310截取每个小段音频流和小段视频流的长度可以按照门限值灵活配置，根据传输信道的误码率来设定。如果信道的误码率高，则小段码流的长度较短；反之，则长度较长。假如设定的门限值为90％，则小段码流的长度应能够保证超过90％的小段码流中没有误码。对于误码率在10-4的条件下，小段码流的长度就应小于1000比特。\n[0109] 通过该提取子单元330对该摘要流进行特征提取，减少了实际签名流的数据量以及占据的传输带宽。该提取子单元330进行特征提取的方法可以是按照一定的提取间隔和数量的模式对每个小段音频流和小段视频流的摘要提取若干个比特作为特征摘要流A1，或是按照一定的间隔，每隔几个小段提取一个或几个小段码流(包括小段视频流和小段音频流)的摘要作为特征摘要流A1。\n[0110] 上述封装子单元350对该签名流进行封装打包的方式可以有多种，本实施例是将签名流和签名证书一起封装到数据表格中。签名流和签名证书也可以分别封装和发送。除了私有数据表格的方式，在其它实施例中，也可以采用服务的从属数据(meta data)方式来携带签名流和签名证书。\n[0111] 如图1所示，在终端的接收系统上增设的设备有：\n[0112] 签名校验机130，与卫星接收机并行地加入接收站，生产时硬件中固化有根公钥自签形成的根证书，在接收电视节目的同时对签名流进行解密和校验，识别音视频流的合法性和完整性，当识别出接收到的音视频流与签名不符时切断画面，并发出报警；其中的根公钥与前述的根私钥为一根密钥对。\n[0113] 如图4所示，该签名校验机130主要包括证书存储单元410、签名解密单元420、摘要生成单元430和校验控制单元440，其中：\n[0114] 证书存储单元410，用于以固化的形式保存认证中心发放的根证书；\n[0115] 签名解密单元420，与该证书存储单元410相连，用于利用该根证书中的根公钥对前端的发送系统发放的签名证书进行解密，获得签名证书所包含的签名公钥，然后利用该签名公钥对签名流解密，即对利用签名私钥加密后的特征摘要解密，得到特征摘要流A1；\n[0116] 摘要生成单元430，用于根据系统表格中的描述符从音视频流中截取相应的码流片断(与描述符相对应的码流片段)，按照与前端的发送系统中提取子单元330所采用的方法生成第二特征摘要A2；\n[0117] 校验控制单元440，与该签名解密单元420和摘要生成单元430相连，用于通过签名流封装包头信息的同步特征码，对该特征摘要流及第二特征摘要进行同步，然后比较特征摘要流A1和第二特征摘要A2，获得二者之间的相似度，如果两者之间的相似度大于等于一个设定的门限值T，则可以认为码流来自合法的电视台，正常输出音视频流，否则，认为该音视频流来源非法，关断音视频输出并报警；特征摘要流A1和第二特征摘要A2的相似度可以通过两者不同比特的数量等方式计算。\n[0118] 上述门限值T的设定与信道噪音和小段码流的长度相关，信道噪音高，小段码流的长度长，门限值T可增加，以减少误报率；在误报率要求较低的情况下，也可以适当减小该门限值T。\n[0119] 需要指出的是，上述对签名证书和签名流及其描述符的处理只是一个示例，对于采用其它编码格式的传输流和音视频流，完全可以通过其它表格或方式携带在传输流中，对于MPEG2，也有多种携带方式。\n[0120] 上述根据传输信道的误码率来设定小段码流的长度，以及根据特征摘要流A1和第二特征摘要A2的相似度来识别码流的合法性，使得本发明技术方案适用于有噪音的广播网。\n[0121] 上述对签名流进行的校验可以用多种方式来实现，除了实施例的比较特征摘要流A1和第二特征A2相似度的方式外，还可以只校验前端发放的数据信息中是否包含有证书表格，或者校验证书表格中是否包含有相应的签名证书，或者校验相应的签名证书的合法性(如果不包含签名证书甚至不包含签名证书表格，或者签名证书不合法，就说明媒体流一定不合法)。其中签名证书不合法，包括签名证书的颁发者信息与根证书的持有者信息不同，则该签名证书不合法；或者签名证书已过有效期，则该签名证书不合法。\n[0122] 因此，本发明的其他实施例中，还可以包含一证书判断单元，该证书判断单元与该签名解密单元相连，用于校验前端发放的数据信息中是否包含有证书表格，不包含证书表格则直接识别出该媒体流不合法，否则进一步判断证书表格中是否包含有相应的签名证书，不包含相应的签名证书则直接识别出该媒体流不合法，否则校验相应的签名证书的合法性，不合法则直接识别出该媒体流不合法，否则由签名解密单元执行相应的操作。\n[0123] 本实施例利用数字签名在卫星数字广播网中识别音视频流合法性的方法如图5所示，包括以下步骤：\n[0124] 步骤S510，卫星上行站首先要向权威认证中心提交证书申请，经批准后，卫星上行站将获得认证中心发给卫星上行站的签名证书。将这个签名证书导入前端的发送系统中的签名服务器后，可表明签名服务器在电视信号中产生的数字签名可以用来证明卫星上行站的身份和电视信号的合法性和完整性，证书中包含了该卫星上行站要使用的根公钥信息以及签名公钥，并且根公钥由各个要接收该卫星上行站节目的卫星接收站在生产时固化在终端的接收系统的签名校验机上；\n[0125] 对于其它的单向数字传输网络来说，如广播电台，获取根公钥的方式是多种多样的，不必局限于上述从认证中心的签名证书上获得的方式。另外，签名公钥虽然可以在签名证书中指定，但该签名公钥是可修改的且是实时传送的。\n[0126] 步骤S520，前端的发送系统采用本地存储的签名私钥对从媒体流中截取的小段码流进行签名，生成签名流，将从认证中心获得的签名证书插入签名流中，并在流的描述符中插入对该签名流的描述符，还将签名证书、签名流及描述符插入到媒体流中；该签名证书中包含一签名公钥，该签名公钥与该签名私钥为一签名密钥对；\n[0127] 卫星上行站广播音视频流时，同时发放从认证中心获得的签名证书，该证书中包含有签名公钥和证书有效期的信息，并对音频和视频流分别截成长度相等的小段码流，每个小段码流的长度可以按照门限值灵活配置，根据传输信道的误码率来设定；利用散列算法得到每个小段码流的摘要，形成摘要流，对该摘要流进行特征提取，获得特征摘要流，采用签名私钥对该特征摘要流进行分段签名，形成签名流；根据音视频码流的封包信息和音视频码流自身信息生成同步特征码作为封包的包头信息，对签名流进行封装，并将包括签名证书、签名流及其描述符写在传输流中并插入音视频流；\n[0128] 在本实施例中，可以对全部的码流都进行签名，也可以对码流分段随机签名，系统保证每秒钟执行20～40次签名，该参数可以配置。\n[0129] 签名服务器发放的签名证书中有有效期的信息，当时间超过有效期，证书就自动作废。签名机可以在旧签名证书过期之前，在网络中发放新的签名证书(备用签名证书)。一种方式是，签名服务器保存两个证书，一个是当前使用的，一个是下一次要使用的(备用签名证书)，证书的有效剩余时间被签名机监视，当当前证书快过有效期，提示管理员，管理员可以手动命令签名机使用备用签名证书。备用签名证书对应新的签名密钥对。这样可以在线地更新证书，加强系统的安全性。\n[0130] 步骤S530，包含签名流的传输流和音视频流信号经编码、调制后，通过卫星发射机和卫星将电视台的节目转播到各地。\n[0131] 步骤S540，终端的接收系统对签名流进行解密，根据解密获得的签名证书识别媒体流的合法性；\n[0132] 在通用的卫星接收站的平台上，广播信号通过调谐和解调转换成数字的传输流形式，再经解复用后，对音视频码流进行解码，同时根据音视频流和签名流对数字签名进行识别，如校验失败则认为识别出该媒体流不合法，发出控制信号关断音视频输出并报警，如校验通过则认为识别出该媒体流合法，正常输出音视频流。\n[0133] 进行校验时，按照传输流中的描述符从音视频流中截取相应的片断，按与前端相同的算法得到特征摘要流A1；同时，用固化的根证书中的根公钥解密签名证书得到签名公钥，用签名公钥将码流中的数字签名解密，得到第二特征摘要A2；如果特征摘要流A1和第二特征摘要A2的相似度大于等于门限值T，则校验成功，码流就是来自于合法的来源，否则，校验失败，该码流来源非法。\n[0134] 前端的发送系统封装包含证书有效期的签名证书，还可以存储一个或一个以上的备用签名证书，在当前使用的签名证书的有效期到期时，选择一个备用签名证书以更换当前所使用的签名证书。\n[0135] 终端的接收系统判断媒体流中是否包含有证书表格，如果不包含该证书表格则识别出该媒体流不合法，否则进一步判断该证书表格中是否包含有签名证书，如果不包含有签名证书则也可以识别出该媒体流不合法，否则校验所述签名证书是否合法，如果该签名证书不合法则识别出该媒体流不合法。\n[0136] 终端的接收系统在判断出该签名证书合法时，采用本地保存的根公钥对该签名证书进行解密，获得该签名公钥；采用该签名公钥对该签名流解密，得到该特征摘要流；根据该描述符和同步特征码从该媒体流中截取与所述描述符和同步特征码对应的码流片段，生成第二特征摘要；比较该特征摘要流和第二特征摘要，获得一相似度，并根据该相似度与一预设的门限值识别该媒体流是否合法。\n[0137] 具体地，终端的接收系统通过所述特征摘要流及该第二特征摘要不同比特的数量，计算所述相似度，并在该相似度大于等于该门限值时确认该媒体流合法，否则确认该媒体流不合法；其中，该门限值根据信道噪音及所述小段码流的长度设定。\n[0138] 综上所述，本发明整个系统建立在2048位的高强度密码(根密钥)的基础之上，不仅能够有效地防止网络攻击，还可以通过随时更新签名密钥，提高系统的安全性。由于签名校验机在接收电视节目的同时校验码流的合法性和完整性，当发现接收到的视频流与签名不符的时候就切断画面，这样可以保证非法的攻击信号在得到解码之前被彻底切断，整个过程是完全自动的，不需要人员的干预。实现了不让一个非法画面出现接入网络的屏幕上的要求。通过特征提取的方法，签名流占用的带宽大大压缩，同时采用可配置分段长度和特征相似度比较的方法，使系统在信道有噪音的情况下，也可以正常工作。\n[0139] 容易了解，本发明系统和方法同样可以应用于HFC网络、无线数字电视网等其他单向数字广播网中音视频流来源的合法性识别，对于系统来说，只是网络中的原前端和终端设备有所不同，广播信号有所不同，如也可以是地面广播或是有线广播信号等，但为实现合法性识别所需增设的装置和执行的操作与上述实施例都是相同的，不再一一赘述。\n[0140] 在上述实施例的基础上，本发明还可以有各种变换的方案。\n[0141] 例如，本发明也可以对卫星上行站的特征信息等一些保密的非实时信息进行摘要和签名，但实施例中对实时的音视频流签名的方式，可以避免他人可以通过录制这些信息，与其他的非法的音视频汇合用于攻击。具有更高的可靠性。\n[0142] 例如，在另一实施例中，本发明也可以只采用一级密钥体系，即在前端用根私钥(或相当于根私钥的密钥)进行数字签名，而在接收端用根公钥(或相当于根公钥的密钥)对该签名进行校验。\n[0143] 另外，校验机可以作为一个模块集成到接收机中，即接收机能够输出解码后的音视频内容，又同时检测信号的合法性。当检测到非法信号时，接收机切断输出画面，显示提示信息。\n[0144] 本发明是一种在数字音视频码流中加入数字签名的方法，使码流的来源得到了唯一的确认。在加入了数字签名后，将不影响原有的码流在广播网中的传播和在接收机中的接收。本发明的实现包括数字电视广播网头端的实时码流签名机和终端的签名校验机。码流签名机接收实时的音视频流，对码流的摘要进行特征提取，并对提取的特征进行数字签名，输出码流的签名流。签名流通过通用的复用器被混入原有的码流中，进入广播网。在网络终端的校验机，可以从码流中分解出签名流，并对签名流和码流进行同步，对签名流与码流进行特征比对，使校验机在传输中即使受到噪音的干扰，也能正确校验接收的码流是否为合法的来源。校验机一旦发现来源为非法，可以用切断信号源，报警等方式提示。\n[0145] 另外，本发明并不局限于电视网络，而是可以应用于各种单向数字传输网络的媒体流的合法性识别，如广播电台，因此也可以对只包括音频流的广播信号进行签名校验。